[Social media:] Reuring over WhatsApp - hoe stuur je meekijkvrije berichten?

Bij Freedom zijn we blij met elke discussie over online privacy, want wij vinden dat dit onderwerp veel meer aandacht verdient.

Deze week kwam berichtenservice WhatsApp onder vuur te liggen vanwege de nieuwe voorwaarden die gebruikers hebben moeten tekenen. Voor Europese gebruikers verandert er op dit moment niet veel, toch vragen steeds meer mensen zich nu af of ze deze populaire app niet moeten mijden.

Met de mee-kijk-vrije maildienst die wij aanbieden, kunnen wij die discussie alleen maar toejuichen. Eigenlijk wordt het gewoon tijd voor een mee-kijk-vrije berichtenservice voor je mobiele telefoon. Wij volgen de ontwikkelingen daaromheen (en de voor- en tegenstanders!) op de voet.

Wat je kunt doen
Een eenduidig antwoord op welke berichtenapp je het beste kunt gebruiken, is er helaas niet. Er zijn vele voor- en tegenstanders van alle apps, de meningen liggen helaas uiteen. Wat wij zien, is dat Signal goed uit de verf komt, onder andere bij de Consumentenbond. En er zijn een aantal minder bekende diensten, zoals Matrix of Delta Chat.

Ons advies is dat je zelf een afweging maakt. Dat kan bijvoorbeeld met deze vergelijkingssite
https://www.securemessagingapps.com

Welke berichtenapp gebruik jij? En ben je er tevreden over?

3 likes

Telegram en WhatsApp zijn er al heel lang af.

Signal is mijn favoriet omdat ik hier een paar mensen over de streep getrokken heb.
Maar bij minder handige gebruikers verlies ik nog wel eens de verbinding.
Omdat Google toch al mee kijkt, gebruik ik voor uitzonderingen Hangouts.

En op Threema staat er ook al heel lang ongebruikt op.
Volledig onbruikbaar, omdat mensen weigeren die eenmalige €3,99 te betalen.

Het ‘instant’ versturen van berichten vind ik per definitie een manier waarbij je snel een boodschap overbrengt die door de ontvanger regelmatig verkeerd geïnterpreteerd kan worden. Om nog maar niet te spreken over het kenbaar maken en verwoorden van meningen ‘in het heetst van de strijd’, waarbij de knop ‘verzenden’ uit gewoonte als automatisch wordt ingedrukt.

Het gebruik van berichten-apps heb ik dan ook al vaak gezien als oorzaak/instrument waardoor onnodig misverstanden en ruzies zijn ontstaan met alle gevolgen vandien. Een ‘verplichte’ wacht- en herzieningstijd van een paar seconden zou heel veel schelen.

Wanneer ik gebruik maak van Matrix ben ik daar wel heel tevreden over. Als dat de nieuwe standaard wordt zou ik wel meer gebruik maken van de applicatie en via Elements ook nog eens cross platform.

Tijd voor Freedom om zich op Matrix te manifesteren zou ik willen zeggen :wink:

2 likes

Threema is onlangs met de code over de brug gekomen. Ik wacht even af wat daar gaat gebeuren. Voor de prijs van één McDonalds burger onbeperkt gebruik maken van een goede berichten-app is natuurlijk een schijntje, zeker als je goede privacy en versleuteling, support, onderhoud en ontwikkeling kan verwachten.

Ik denk dat je je niet moet blindstaren op de encryptie die beloofd wordt. Als je vertrouwt op encryptie waarbij zij de private key in handen hebben, en ja daar maakt ook Freedom email zich schuldig aan, dan kun je er net zo goed zonder encryptie er op vertrouwen dat zij hun macht niet misbruiken.

Ik gebruik Signal al jaren. Meest gebruikt alternatief in mijn omgeving.

Ik hoop nog wel op een meer open standaard (zoals Matrix/Element), zodat je wat meer vrijheid hebt welke berichtenservice je gebruikt.

Al vele jaren gebruik ik Threema.
Whatsapp gebruikte ik vroeger daarnaast, maar ik heb het eraf gegooid toen ze onderdeel werden van Facebook, en sinds die tijd gebruik ik naast Threema ook Signal.

Mogelijk dat voor veel mensen de pakketgedachte zoals van Librem One eindelijk eens de aandacht verdient. Zie ook de discussie in ons eigen topic over een ‘Freedom Service Bundel

mmmmm, nee. Dan zou ik liever naar https://nextcloud.com/ verwijzen.

1 like

Ik ken ze, ook al maak je de prijs eenmalig 10ct blijven ze zeggen: “ik wil niet betalen”.
Dat ik af en toe een tegoed koop in de Playstore voor betaalde app’s vinden de meesten heel erg raar.

Ik ken ze ook, degenen die hun hele vrije avond het web doorsurfen op zoek naar een aanbieding van een camera die € 1,- goedkoper is. Wat voor uurloon reken je dan voor jezelf, denk ik dan.
Maar misschien moeten we niet uitgaan van de voorkeuren van dergelijke free-riders, maar van een redelijke middengroep die ondertussen de nadelen van alle zogenaamd gratis diensten begrijpt. Als daar onder ons genoeg van zijn, en we kunnen samen als Freedomgebruikers genoeg kritische massa vormen, dan komt de rest van zelf. Zie ook mijn eerdere reactie hier
Zelf heb ik een eigen Matrix server draaien voor familie en vrienden, en Telegram voor degene die daar niet op zitten.

Ik heb ook een eigen matrix server draaien en kan daarmee goed communiceren met andere mensen in mijn directe omgeving. Om via matrix te praten gebruik ik voornamelijk de element web applicatie.
Ik vind het mooie aan matrix dat het gedistribueerd is, zoals ook bij e-mail het geval is.

1 like

Graag wil ik een aantal kanttekeningen plaatsen bij de vraag en het advies omdat ik beide iets te kort door de bocht vind.

Achtergrond
In de afgelopen jaren hebben velen met verwondering gekeken naar de macht van de mainstream sociale netwerken en de consequenties van het gebruik ervan. Waar ikzelf huiverig ben om een dergelijk netwerk te gebruiken zijn er volksstammen die hun gegevens en gedrag laten registreren om vervolgens vrijwillig te laten gebruiken door het netwerk voor de verkoop van hun gegevens aan data-miners en adverteerders. De gebruikers van deze netwerken kunnen zich in deze tijd niet langer beroepen op het feit dat ze daarvan niet op de hoogte zijn. Toch blijft men vrolijk doorgaan: dat is een bewuste keuze en zij moeten de (non-privacy) consequenties hiervan dan ook aanvaarden.

Commerciele partijen zoals Facebook (+Whatsapp), Twitter, Amazon, Google, Apple, YouTube, Tiktok liggen al tijden onder het vergrootglas liggen is bekend. Er wordt al tijden gevraagd hoe de macht(smisbruik) van deze partijen onder controle kan worden gehouden en/of doorbroken.

Ontwikkeling
Door de ontwikkelingen in Amerika zien we nu ineens in toenemende mate dat mensen hoofdzakelijk vanwege het Recht op de Vrijheid van Meningsuiting hun zienswijze op sociale media bijstellen en om deze reden proberen te switchen naar een ander platform of dit overwegen. Daarbij wil een deel Twitter, Facebook en Whatsapp dumpen, geen zaken meer doen met faciliterende diensten van Amazon, en Google en Apple afstraffen omdat zij ‘selectief’ alternatieve applicaties uit hun store halen.

Een vreemde ontwikkeling als je het mij vraagt omdat de commerciële partijen hierdoor niet alleen verzekerd weten van de aandacht van privacywaakhonden maar nu ook hun eigen gebruikers de platformen tegen het (lees: hun) licht houden maar dan vooral vanwege de vermeende inperking van het Recht op de Vrijheid van Meningsuiting en niet de jarenlange schending van hun Recht op Privacy. Alhoewel zij op basis van hun eigen voorwaarden het recht hebben zo te handelen is het is opmerkelijk dat op dit punt de mainstream sociale netwerken zichzelf in de voet lijken te schieten. Daar waar we gewacht hebben totdat niet-commerciële netwerken zouden worden geadopteerd door het publiek zien we nu dat de mainstream netwerken hun gebruikers zelf in die richting duwen. Een uitgelezen moment om sociale netwerken die niet op commerciële basis werken voor het voetlicht te brengen.

De discussie over het gebruik van social networks door Freedom kan dan ook worden toegejuicht en kan een hele zinvolle zijn. Naar mijn mening is het niet aan onze community om met gebruikte platforms te komen, in de gedachte dat Freedom een voortrekkersrol wil vervullen ten aanzien van open standaarden (Corporate Charter) zie ik het meer als taak van Freedom om richting en advies te geven welke daarvan aansluiten bij dat gedachtengoed. Een verwijzing naar twee overzichten volstaat hierin niet.

Kritiek op adviezen
Een overzicht van de Consumentenbond, hoe goed dit ook is bedoeld, is niet geschikt als referentiekader op dit zeer specifieke gebied. De Consumentenbond is bekend als de organisatie die de beste prijs/kwaliteit opzoekt en zich baseert op onderzoek en feedback onder leden - waardoor alleen de veel gebruikte bestaande en ‘bewezen’ diensten/producten aan bod komen - , net zoals bijvoorbeeld bij Kieskeurig.nl. Dat wil niet zeggen dat de beste dienst of product goed uit de bus komt: ooit een Bang & Olufssen opgenomen gezien in een TV onderzoek, een Bamix mixer opgenomen in de categorie huishoudelijke apparaten, laat staan in de top 3 zien eindigen?

Deze bron als referentiekader gebruiken is hier juist niet gevraagd, we zijn volgens mij op zoek naar die platforms die een acceptabel of geoptimaliseerd alternatief vormen voor de platforms die aan de lopende band een loopje nemen met onze rechten. De mensen die dat geen probleem vinden kunnen daar prima blijven. Dit topic is niet gestart om dit te bevestigen.

Er wordt een advies gegeven door het overzicht van https://www.securemessagingapps.com/ te vermelden. Alhoewel overzichtelijk weergegeven met relevante beoordelingscriteria is dit referentiekader evenmin geschikt om tot een gefundeerde afweging te komen. Op de ‘About’ pagina van dezelfde website geeft men zelf de achtergrond informatie, waar expliciet de beperkingen en niet onderzochte aspecten beschreven. Het overzicht is dan ook gebaseerd op de op dat moment bij de samensteller vastgestelde aspecten die hij heeft kunnen waarnemen, niet onderzocht.

Het overzicht is netjes van kleuren voorzien – rood als negatief aspect, groen als positief – deze zijn echter niet getoetst en door de kleuraanduiding domweg ‘zwart/wit’.

Om een voorbeeld te geven:

“Have there been a recent code audit and an independent security analysis?”

Bij Element/Riot staat hier ‘No’ in het rood. Er wordt nergens op ingegaan of dit terecht is of de overweging waarom een code audit niet heeft plaatsgevonden. Er speelt hier echter iets belangrijks dat niet wordt benoemd.

De zakken van Facebook en Twitter zijn diep gevuld en zij kunnen zich door de reclame-inkomsten verzekeren van een batterij ontwikkelaars op betaalde basis. Dit in tegenstelling tot platforms van open-source communities met een tegenovergestelde ideologie worden neergezet, door gepassioneerde ontwikkelaars die dit (grotendeels) op vrijwillige basis doen. Anders dan bij Facebook en Twitter komt hun geld van donateurs omdat ze onafhankelijk willen blijven. Zij staan dus voor een dilemma als het aankomt op budgettering: het geld dat binnenkomt besteden ze graag aan de verdere ontwikkeling om het platform te verbeteren, dit is goed te verantwoorden aan hun donateurs, in plaats van het spaarzame geld van hun donateurs periodiek op te maken aan audits. Dit terwijl de organisatie wel graag geaudit zou willen worden en hiervoor ook klaar zou zijn. Iemand die dit niet weet, maar wel waarde hecht aan een audit, zal dit platform (onnodig) terzijde schuiven.

Ook is er sprake van momentopname, zo kun je bijvoorbeeld van een aantal open source platforms zien hoe intensief men bezig is om de beveiliging en privacy verder te waarborgen, als voorbeeld bij Matrix, daar waar de mainstream platforms nul-komma-nul transparantie geven.

Ieder overzicht dat niet door experts is beoordeeld valt op dit enkel punt alleen al door de mand. Er zijn veel meer aspecten die goed gefundeerd naar voren moeten worden gebracht wil je daadwerkelijk een objectieve afweging kunnen maken. Bij de open-source platforms zijn overigens opvallend veel ‘blanks’.

Daarnaast is het aantal dienstverleners in dat overzicht beperkt tot een twaalf-tal aanbieders, waarvan de helft zeker niet aan de grondprincipes van Freedom voldoen en daarmee niet door de ballotagecommissie zouden komen. Dit terwijl belangrijke platforms met enorm potentieel niet worden meegenomen zoals Jami, (Riot/)Matrix, Ruma en Chatty. Hier zou ik dan ook eerder een verwijzing naar de adviezen van Stichting Bits of Freedom (BOF), Freedom Software Foundation (FSF) en andere onafhankelijke partijen met expertise en actualiteit op het gebied van internetprivacy- en veiligheid verwachten.

Wat te doen?
Tegen deze achtergrond en de aan de Corporate Charter van Freedom gekoppelde uitgangspunten lijkt het me ingeval van beoordeling en advies ten aanzien van sociale netwerken een goed idee dat er meer gedetailleerd wordt gekeken naar de werkelijk levensvatbare alternatieven die ook cross-platform gebruikt kunnen worden, bekeken vanuit de huidige stand van zaken en dat Freedom als organisatie zelf een top 3 samen gaat stellen: een aan zekerheid grenzend overzicht om haar klanten/leden te adviseren over welke diensten daadwerkelijk aansluiten bij hun Corporate Charter ten aanzien van privacy, veiligheid en keuzevrijheid.

6 likes

Voor een vergelijking tussen whatsapp, telegram en signal zie ook
https://beebom.com/whatsapp-vs-telegram-vs-signal/amp/
Ik gebruik zelf signal.

Ik sluit me aan bij de punten die door Michael al zijn benoemd. Ik was nog bezig m’n gedachten te ordenen voor iets leesbaars te produceren.

Het overzicht mist naast de door Michael al aangehaalde punten:

  • is een oplossing centraal of decentraal.
  • XMPP (aka Jabber) gebaseerde oplossingen (ok Whatsapp is genoemd).
  • E2E encryptie… hoe dan.
  • Hashing is overrated

Ik zal het toelichten
Alle centrale oplossingen (incl. Signal etc.) maken een contact onderzoek mogelijk. Dat is ook waarom whatsapp E2E encryptie helemaal geen probleem vindt. Het gaat om wie met wie praat. De exacte namen en nummers zijn niet zozeer direct noodzakelijk, maar een unieke ID voor gebruikers wel.
Dus of een nummer wel of niet gehashed is is niet zo belangrijk voor een dergelijk onderzoek. (Overigens als WA, Signal jou een bericht wil sturen omdat een kennis van jou je nummer in de contact lijst heeft staan betekent dat de username (= telefoonnummer) wel herkenbaar is.
Hashing van telefoonnummers is niet zo moeilijk ongedaan te maken, het is een kwestie van reverse lookup tables maken (vgl. rainbow tables voor password decryptie) telefoonnummers zijn max. 15 cijfers lang, uit een beperkte set, ==> alle mogelijke nummers in de wereld hashen en in een database zetten is een triviaal probleem, een gehashed telefoon nummer “dehashen” is dus een triviale lookup.

Ik mis het overzicht van XMPP clients en servers. Dit is bij uitstek een distributed platform. In de kern is WhatsApp een XMPP oplossing, alleen doen ze niet aan federatie. WA praat niet met servers op een ander platform via de S2S interface in XMPP.
een reeks XMPP servers (al of niet prive servers) die gefedereerd samenwerken zou m.i. een voorkeur hebben.
Het probleem is een beetje de stilstand in XMPP eindgebruikers tools.

E2E encryptie die uitsluitend van 1 device naar een ander device kan praten is waarschijnlijk het meest veilig. (afh. van implementatie van encryptie). Bij Alle E2E die in groepen gebruikt kunnen worden is er een ander mechaniek in gebruik.
Er wordt met de groep een gezamenlike sleutel gebruikt. Bij een wijziging van de groepssamenstelling moet er een nieuwe sleutel gemaakt worden. (Als iemand ook alle oude berichten mag lezen hoeft het niet bij toevoegen), bij verlaten van een groep moet een nieuwe sleutel gemaakt worden. Alle berichten worden met de groepssleutel encrypted verzonden.
Bij open source code kan de code ge-audit worden, bij closed source kan dit niet. En kan er ook niet gecontroleerd worden of er in elke groep een extra (nooit genoemd) lid mee kijkt. Sleutel wisselingen hoeven niet opgemerkt te worden als er geen signalering voor bestaat,
WA kan dus makkelijk een achterdeur krijgen zonder dat iemand het verder weet waarmee FB wel kan beschikken over alle groepssleutels en evt. WEL kan meekijken.

Er zijn vast nog meer gezichtspunten.

Overigens is er ook een hele wereld BUITEN messaging en FB. Ook op het gebied van de smoelenboek websites met een tijdslijn… zijn er al veel voorbeelden, kijk naar Mastodon, Diaspora, NextCloud Social (en anderen), allen open source, beschikbaar als zelf te installeren product, of als hosted product beschikbaar.
Belangrijker is dat deze gefedereerd werken, ie. je kan zelf op diaspora zitten waarbij je vrienden op Mastodon en Nextcloud Social zijn en TOCH elkaars updates zien, en berichtjes sturen.

4 likes

Mooie aanvulling op de discussie @Michael, dank je wel!

Naast de aspecten die je benoemd is er eentje die ik mis: de bruikbaarheid van een chatapplicatie is ermee gediend dat zoveel mogelijk mensen kunnen deelnemen aan de chat dienst. Ik denk dat veel mensen niet zo erg lang stil staan bij privacy aspecten, ook omdat de aantasting van privacy niet (meteen) zichtbaar is. Zij stellen dat whatsapp gewoon werkt, en dat ‘iedereen’ er al op zit, inclusief schoolgroepen, sportclubs enzovoorts. Die mensen zien concreet dat zij iets moeten opofferen, heel concreet en heel direct, ten faveure van iets ‘onzichtbaars’.

De vraag is hoe we zover kunnen komen dat de bruikbaarheid (niet functioneel bedoeld, maar meer het bereik van chat applicaties) van privacy vriendelijke chat applicaties zodanig toeneemt dat afscheid genomen kan worden van whatsapp.

Begrijp me niet verkeerd: ik heb al lang geleden afscheid genomen van dergelijke applicaties. Ik gebruik alleen nog ‘free software’, behalve als het wordt afgedwongen en er geen andere optie is (werkgever die een laptop ter beschikking stelt, de software in mijn auto, etc).

Wat me ook opvalt is dat mensen graag ‘gratis’ apps gebruiken zoals whatsapp, en niet gewend zijn om te betalen voor free software. Een misrekening natuurlijk, maar ja, veel mensen kijken alleen naar de ‘cash out’.

Persoonlijk vind ik het moeizaam om financieel bij te dragen aan free software. Ik ben lid van FSF, en ik betaal netjes elke maand een bijdrage voor de ontwikkeling van Debian en Libreoffice. Die maandelijkse betalingen lopen dan weer helaas via PayPal. Pfff… Het zou al heel mooi zijn als er in Europa een goede aggregator is van veel free software initiatieven waarvoor je maandelijks zou kunnen bijdragen door middel van een eenvoudige SEPA overboeking. De drempel wat verlagen en misschien dragen dan meer mensen een steentje bij.

13 berichten zijn samengevoegd naar een bestaand topic: Social Media - Ontwikkeling in NL

Deze heb ik bewust niet opgenomen, mijn reactie was meer gericht op de gebruikte referenties, de tekortkomingen en de mogelijk verkeerde interpretatie. De meeste factoren zijn weliswaar benoemd zoals (de)centralisatie en encryptie, alleen de mate waarin, hoe dit is gegarandeerd en het het belang ervan worden niet uitgesplitst. Ook de meest recente ontwikkeling en bronvermelding ontbreekt en die zijn in dit verband wel van belang omdat de ontwikkelingen momenteel in positieve zin heel snel gaan. Dit had ik natuurlijk kunnen meenemen maar dan was mijn stuk nog langer en voor dit moment even onnodig ingewikkeld gemaakt.

Gelukkig is het bij een aantal mensen wel op de radar zoals bij jou. Met de discussie hoop ik dat Freedom zelf een shortlist maakt waarin ook deze aspecten naar voren komen. Het lijkt me beter dat we op die shortlist moeten gaan ‘schieten’ om tot een platform (of meerdere of specifieke fork) kunnen komen die onder onze community wordt gedragen. Dat is beter dan dat we hier oeverloze discussies voeren.

Als alternatief zouden we per persoon een top 3 kunnen samenstellen of een lijst van criteria die we belangrijk vinden. In dat geval doen wij dat en dan waarschijnlijk alleen de personen met interesse in openstandaarden, terwijl ik graag vanuit Freedom die shortlist zie komen.

1 like

Er is ook een minister die vindt dat encryptie maar lastig is en dat er vast een “technische” weg eromheen te vinden is.
Encryptie verbieden is voorlopig nog te ver van huis gegrepen.

@Optimist en @Michael Die standaaard zou niet eens ontwikkeld hoeven te worden. XMPP bestaat al zo’n 20 jaar en heeft ook E2E,
hetzij via GPG hetzij via OTR (Off The Record). De oude methoden.
Daarnaast is er OMEMO (dit is vrijwel hetzelfde als de “Double Ratchet” van Signal).

Zie: XMPP E2E Security.
XMPP servers KUNNEN samenwerken (federated) in een federated cloud indien de eigenaren dat open zetten.